Configurar multi-inquilinos no Azure Stack Hub

Pode configurar o Azure Stack Hub para suportar inícios de sessão de utilizadores que residem noutros diretórios Microsoft Entra, permitindo-lhes utilizar serviços no Azure Stack Hub. Estes diretórios têm uma relação "convidado" com o diretório do Azure Stack Hub e são considerados inquilinos Microsoft Entra convidados.

Por exemplo, considere este cenário:

  • É o administrador de serviços do contoso.onmicrosoft.com, o inquilino do Microsoft Entra doméstico que fornece serviços de gestão de identidades e acessos ao Azure Stack Hub.
  • Maria é a administradora de diretórios do adatum.onmicrosoft.com, o inquilino Microsoft Entra convidado onde estão localizados os utilizadores convidados.
  • A mary's company (Adatum) utiliza serviços IaaS e PaaS da sua empresa. O Adatum quer permitir que os utilizadores do diretório convidado (adatum.onmicrosoft.com) iniciem sessão e utilizem recursos do Azure Stack Hub protegidos por contoso.onmicrosoft.com.

Este guia fornece os passos necessários, no contexto deste cenário, para ativar ou desativar multi-inquilinos no Azure Stack Hub para um inquilino de diretório convidado. Você e Maria conseguem este processo ao registar ou anular o registo do inquilino do diretório convidado, o que ativa ou desativa os inícios de sessão e o consumo de serviços do Azure Stack Hub pelos utilizadores do Adatum.

Se for um Fornecedor de Soluções Cloud (CSP), terá outras formas de configurar e gerir um Azure Stack Hub multi-inquilino.

Pré-requisitos

Antes de registar ou anular o registo de um diretório convidado, o utilizador e a Mariana têm de concluir os passos administrativos para os respetivos inquilinos Microsoft Entra: o diretório raiz (Contoso) do Azure Stack Hub e o diretório convidado (Adatum):

Registar um diretório convidado

Para registar um diretório convidado para multi-inquilinos, tem de configurar o diretório principal do Azure Stack Hub e o diretório convidado.

Configurar o diretório do Azure Stack Hub

Enquanto administrador de serviços do contoso.onmicrosoft.com, primeiro tem de integrar o inquilino do diretório convidado do Adatum no Azure Stack Hub. O script seguinte configura o Azure Resource Manager para aceitar inícios de sessão de utilizadores e principais de serviço no inquilino do adatum.onmicrosoft.com:

## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as adminmanagement.<region>.<FQDN>.
$adminARMEndpoint = "https://adminmanagement.local.azurestack.external"

## Replace the value below with the Azure Stack Hub directory
$azureStackDirectoryTenant = "contoso.onmicrosoft.com"

## Replace the value below with the guest directory tenant. 
$guestDirectoryTenantToBeOnboarded = "adatum.onmicrosoft.com"

## Replace the value below with the name of the resource group in which the directory tenant registration resource should be created (resource group must already exist).
$ResourceGroupName = "system.local"

## Replace the value below with the region location of the resource group.
$location = "local"

# Subscription Name
$SubscriptionName = "Default Provider Subscription"

Register-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint `
 -DirectoryTenantName $azureStackDirectoryTenant `
 -GuestDirectoryTenantName $guestDirectoryTenantToBeOnboarded `
 -Location $location `
 -ResourceGroupName $ResourceGroupName `
 -SubscriptionName $SubscriptionName

Configurar o diretório convidado

Em seguida, a Mariana (administradora de diretórios do Adatum) tem de registar o Azure Stack Hub no diretório convidado adatum.onmicrosoft.com ao executar o seguinte script:

## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as management.<region>.<FQDN>.
$tenantARMEndpoint = "https://management.local.azurestack.external"

## Replace the value below with the guest directory tenant.
$guestDirectoryTenantName = "adatum.onmicrosoft.com"

Register-AzSWithMyDirectoryTenant `
 -TenantResourceManagerEndpoint $tenantARMEndpoint `
 -DirectoryTenantName $guestDirectoryTenantName `
 -Verbose

Importante

Se o administrador do Azure Stack Hub instalar novos serviços ou atualizações no futuro, poderá ter de executar este script novamente.

Execute este script novamente em qualquer altura para verificar o estado das aplicações do Azure Stack Hub no diretório.

Se notar problemas com a criação de VMs no Managed Disks (introduzido na atualização 1808), foi adicionado um novo fornecedor de recursos de disco, o que requer que este script seja executado novamente.

Direcionar os utilizadores para iniciarem sessão

Por fim, o Mariana pode direcionar os utilizadores do Adatum com @adatum.onmicrosoft.com contas para iniciarem sessão ao visitar o portal de utilizadores do Azure Stack Hub. Para sistemas de vários nós, o URL do portal de utilizador é formatado como https://portal.<region>.<FQDN>. Para uma implementação do ASDK, o URL é https://portal.local.azurestack.external.

A Maria também tem de direcionar quaisquer principais estrangeiros (utilizadores no diretório do Adatum sem o sufixo de adatum.onmicrosoft.com) para iniciar sessão com https://<user-portal-url>/adatum.onmicrosoft.com. Se não especificarem o inquilino do diretório no URL, serão enviados para o respetivo diretório predefinido e receberão um erro a indicar que o /adatum.onmicrosoft.com administrador não consentiu.

Anular o registo de um diretório convidado

Se já não quiser permitir inícios de sessão nos serviços do Azure Stack Hub a partir de um inquilino de diretório convidado, pode anular o registo do diretório. Mais uma vez, o diretório principal do Azure Stack Hub e o diretório convidado têm de ser configurados:

  1. Como administrador do diretório convidado (Maria neste cenário), execute Unregister-AzsWithMyDirectoryTenant. O cmdlet desinstala todas as aplicações do Azure Stack Hub do novo diretório.

    ## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as management.<region>.<FQDN>.
    $tenantARMEndpoint = "https://management.local.azurestack.external"
    
    ## Replace the value below with the guest directory tenant.
    $guestDirectoryTenantName = "adatum.onmicrosoft.com"
    
    Unregister-AzsWithMyDirectoryTenant `
     -TenantResourceManagerEndpoint $tenantARMEndpoint `
     -DirectoryTenantName $guestDirectoryTenantName `
     -Verbose 
    
  2. Enquanto administrador de serviços do Azure Stack Hub (neste cenário), execute o Unregister-AzSGuestDirectoryTenant cmdlet:

    ## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as adminmanagement.<region>.<FQDN>.
    $adminARMEndpoint = "https://adminmanagement.local.azurestack.external"
    
    ## Replace the value below with the Azure Stack Hub directory
    $azureStackDirectoryTenant = "contoso.onmicrosoft.com"
    
    ## Replace the value below with the guest directory tenant. 
    $guestDirectoryTenantToBeDecommissioned = "adatum.onmicrosoft.com"
    
    ## Replace the value below with the name of the resource group in which the directory tenant resource was created (resource group must already exist).
    $ResourceGroupName = "system.local"
    
    Unregister-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint `
     -DirectoryTenantName $azureStackDirectoryTenant `
     -GuestDirectoryTenantName $guestDirectoryTenantToBeDecommissioned `
     -ResourceGroupName $ResourceGroupName
    

    Aviso

    Os passos para desativar multi-inquilinos têm de ser executados por ordem. O passo 1 falhará se o passo 2 for concluído primeiro.

Obter o relatório de estado de funcionamento da identidade do Azure Stack Hub

Substitua os <region>marcadores de posição , <domain>e <homeDirectoryTenant> e execute o seguinte cmdlet como administrador do Azure Stack Hub.


$AdminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"
$DirectoryName = "<homeDirectoryTenant>.onmicrosoft.com"
$healthReport = Get-AzsHealthReport -AdminResourceManagerEndpoint $AdminResourceManagerEndpoint -DirectoryTenantName $DirectoryName
Write-Host "Healthy directories: "
$healthReport.directoryTenants | Where status -EQ 'Healthy' | Select -Property tenantName,tenantId,status | ft


Write-Host "Unhealthy directories: "
$healthReport.directoryTenants | Where status -NE 'Healthy' | Select -Property tenantName,tenantId,status | ft

Atualizar permissões de inquilino Microsoft Entra

Esta ação limpa um alerta no Azure Stack Hub, que indica que um diretório requer uma atualização. Execute o seguinte comando a partir da pasta Azurestack-tools-master/identity :

Import-Module ..\Identity\AzureStack.Identity.psm1

$adminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"

# This is the primary tenant Azure Stack Hub is registered to:
$homeDirectoryTenantName = "<homeDirectoryTenant>.onmicrosoft.com"

Update-AzsHomeDirectoryTenant -AdminResourceManagerEndpoint $adminResourceManagerEndpoint `
   -DirectoryTenantName $homeDirectoryTenantName -Verbose

O script pede-lhe credenciais administrativas no inquilino Microsoft Entra e demora vários minutos a ser executado. O alerta é limpo depois de executar o cmdlet .

A gestão baseada no portal não é suportada para esta versão

A gestão multi-inquilinos com o portal de administrador só está disponível para as versões 2102 e posteriores. Selecione uma versão posterior utilizando o seletor na parte superior esquerda da página.

Registar um diretório convidado

Para registar um diretório convidado para multi-inquilinos, tem de configurar o diretório principal do Azure Stack Hub e o diretório convidado.

Configurar o diretório do Azure Stack Hub

O primeiro passo é sensibilizar o sistema do Azure Stack Hub para o diretório de convidados. Neste exemplo, o diretório da empresa de Mariana, Adatum, chama-se adatum.onmicrosoft.com.

  1. Inicie sessão no portal de administrador do Azure Stack Hub e aceda a Todos os serviços – Diretórios.

    Captura de ecrã que mostra a lista de diretórios.

  2. Selecione Adicionar para iniciar o processo de integração. Introduza o nome do diretório convidado "adatum.onmicrosoft.com" e, em seguida, selecione Adicionar.

    Captura de ecrã que mostra como adicionar um novo diretório.

  3. O diretório convidado é apresentado na vista de lista, com o estado de não registado.

    Captura de ecrã que mostra o novo diretório convidado com um estado não registado.

  4. Apenas a Mariana tem as credenciais para autenticar no diretório convidado, pelo que tem de lhe enviar a ligação para concluir o registo. Selecione a caixa de verificação adatum.onmicrosoft.com e, em seguida, selecione Registar.

    Captura de ecrã que mostra a seleção de um diretório a registar.

  5. É aberto um novo separador do browser. Selecione Copiar ligação na parte inferior da página e forneça-a ao Mariana.

  6. Se tiver as credenciais do diretório convidado, pode concluir o registo manualmente ao selecionar Iniciar sessão.

    Captura de ecrã que mostra a seleção de início de sessão.

Configurar o diretório convidado

Maria recebeu o e-mail com a ligação para registar o diretório. Ela abre a ligação num browser e confirma o ID de Microsoft Entra e o ponto final do Azure Resource Manager do seu sistema do Azure Stack Hub.

  1. Maria inicia sessão usando as suas credenciais de administrador global para adatum.onmicrosoft.com.

    Nota

    Certifique-se de que os bloqueadores de pop-up estão desativados antes de iniciar sessão.

    Captura de ecrã que mostra o início de sessão para gerir um diretório.

  2. Maria revê o estado do diretório e vê que não está registado.

    Captura de ecrã que mostra um diretório não registado.

  3. Maria seleciona Registar para iniciar o processo.

    Nota

    Os objetos necessários para o Visual Studio Code podem não ser criados e têm de utilizar o PowerShell.

    Captura de ecrã que mostra o registo do diretório inicial.

  4. Após a conclusão do processo de registo, a Mariana pode rever todas as aplicações que foram criadas no diretório e verificar o respetivo estado.

    Captura de ecrã a mostrar um diretório registado.

  5. O Mariana concluiu com êxito o processo de registo e agora pode direcionar os utilizadores do Adatum com @adatum.onmicrosoft.com contas para iniciarem sessão ao visitar o portal de utilizadores do Azure Stack Hub. Para sistemas de vários nós, o URL do portal de utilizador é formatado como https://portal.<region>.<FQDN>. Para uma implementação do ASDK, o URL é https://portal.local.azurestack.external.

Importante

O operador do Azure Stack pode demorar até uma hora a ver o estado do diretório atualizado no portal de administração.

A Maria também tem de direcionar quaisquer principais estrangeiros (utilizadores no diretório do Adatum sem o sufixo de adatum.onmicrosoft.com) para iniciar sessão com https://<user-portal-url>/adatum.onmicrosoft.com. Se não especificarem o inquilino do diretório no URL, serão enviados para o respetivo diretório predefinido e receberão um erro a indicar que o /adatum.onmicrosoft.com administrador não consentiu.

Anular o registo de um diretório convidado

Se já não quiser permitir inícios de sessão nos serviços do Azure Stack Hub a partir de um inquilino de diretório convidado, pode anular o registo do diretório. Mais uma vez, o diretório principal do Azure Stack Hub e o diretório convidado têm de ser configurados:

Configurar o diretório convidado

A Maria já não utiliza serviços no Azure Stack Hub e tem de remover os objetos. Volta a abrir o URL que recebeu por e-mail para anular o registo do diretório. Antes de iniciar este processo, a Mary remove todos os recursos da subscrição do Azure Stack Hub.

  1. Mary inicia sessão usando as suas credenciais de administrador global para adatum.onmicrosoft.com.

    Nota

    Certifique-se de que os bloqueadores de pop-up estão desativados antes de iniciar sessão.

    Captura de ecrã que mostra a seleção de Iniciar Sessão.

  2. Maria vê o estado do diretório.

    Captura de ecrã que mostra um diretório registado.

  3. Maria seleciona Anular registo para iniciar a ação.

    Captura de ecrã que mostra a seleção de Anular registo para anular o registo de um diretório.

  4. Quando o processo estiver concluído, o estado é apresentado como Não registado:

    Captura de ecrã que mostra um diretório que não foi registado.

    Mary anule com êxito o registo do diretório adatum.onmicrosoft.com.

    Nota

    Pode demorar até uma hora a mostrar o diretório como não registado no portal de administração do Azure Stack.

Configurar o diretório do Azure Stack Hub

Como operador do Azure Stack Hub, pode remover o diretório convidado em qualquer altura, mesmo que a Mary não tenha anteriormente anulado o registo do diretório.

  1. Inicie sessão no portal de administrador do Azure Stack Hub e aceda a Todos os serviços – Diretórios.

    Captura de ecrã que mostra todos os diretórios.

  2. Selecione a caixa de verificação adatum.onmicrosoft.com diretório e, em seguida, selecione Remover.

    Captura de ecrã que mostra a seleção de Remover para um diretório.

  3. Confirme a ação eliminar escrevendo sim e selecionando Remover.

    Captura de ecrã que mostra como remover um diretório.

    Removeu o diretório com êxito.

Gerir as atualizações necessárias

As atualizações do Azure Stack Hub podem introduzir suporte para novas ferramentas ou serviços que possam exigir uma atualização do diretório de casa ou convidado.

Enquanto operador do Azure Stack Hub, recebe um alerta no portal de administração que o informa sobre uma atualização de diretório necessária. Também pode determinar se é necessária uma atualização para diretórios domésticos ou convidados ao ver o painel de diretórios no portal de administração. Cada listagem de diretórios mostra o tipo de diretório. O tipo pode ser um diretório de casa ou convidado e o respetivo estado é apresentado.

Atualizar os diretórios do Azure Stack Hub

Quando é necessária uma atualização de diretório do Azure Stack Hub, é apresentado um estado de Atualização Obrigatório . Por exemplo:

Captura de ecrã que mostra um diretório a exigir uma atualização.

Para atualizar o diretório, selecione a caixa de verificação Nome do diretório e, em seguida, selecione Atualizar.

Atualizar o diretório convidado

Um operador do Azure Stack Hub também deve informar o proprietário do diretório convidado de que precisa de atualizar o respetivo diretório através do URL partilhado para registo. O operador pode reenviar o URL, mas não é alterado.

Mary, a proprietária do diretório convidado, abre o URL que recebeu por e-mail quando registou o diretório:

  1. Mary inicia sessão usando as suas credenciais de administrador global para adatum.onmicrosoft.com. Certifique-se de que os bloqueadores de pop-up estão desativados antes de iniciar sessão.

    Captura de ecrã que mostra a seleção de Iniciar Sessão.

  2. Maria vê o estado do diretório a dizer que é necessária uma atualização.

  3. A ação Atualizar está disponível para a Mary atualizar o diretório convidado. Pode demorar até uma hora para mostrar o diretório como registado no portal de administração do Azure Stack.

Capacidades adicionais

Um operador do Azure Stack Hub pode ver as subscrições associadas a um diretório. Além disso, cada diretório tem uma ação para gerir o diretório diretamente no portal do Azure. Para gerir, o diretório de destino tem de ter permissões de gestão no portal do Azure.

Passos seguintes